与 Citrix SD-WAN 设备的连接
在 Citrix SD-WAN Orchestrator 上为本地配置站点后,使用适用于本地的 Citrix SD-WAN Orchestrator 在站点上的 Citrix SD-WAN 设备之间建立连接。您可以通过以下方式之一建立连接:
-
单向身份验证:SD-WAN 设备对本地的 Citrix SD-WAN Orchestrator 进行身份验证。启用单向身份验证后,必须下载 Citrix SD-WAN Orchestrator 本地证书并将其上传到 SD-WAN 设备上。
-
双向身份验证:SD-WAN 使用交换的证书互相进行身份验证。启用双向身份验证后,您必须将 SD-WAN 设备证书上传到本地的 Citrix SD-WAN Orchestrator 上,还必须在 SD-WAN 设备上上传本地的 Citrix SD-WAN Orchestrator 证书。
-
无需身份验证:在本地的 Citrix SD-WAN Orchestrator 和 SD-WAN 设备之间建立连接,无需身份验证。您无需使用 SD-WAN 设备或 Citrix SD-WAN Orchestrator 获取本地证书。如果您拥有安全网络(例如 MPLS),则可以使用无身份验证。
注意
建议仅使用 单向身份验证 或双向身份验证。如果没有身份验证,则必须选择安全的 DNS 服务器。
您可以手动配置与每个站点的连接,也可以使用自动零接触部署。
注意
Citrix SD-WAN 11.3.0 是设备连接到本地的 Citrix SD-WAN Orchestrator 所需的最低软件版本。
零接触部署
零接触部署是一个自动流程,用于配置设备与本地的 Citrix SD-WAN Orchestrator 之间的连接。您可以使用非云端零接触部署或云代理零接触部署设置自动建立连接。
非云零接触部署
非云零接触部署设置允许您在 SD-WAN 设备上配置 Citrix SD-WAN Orchestrator 以获取本地信息。在后端运行的 NITRO API 处理证书的下载和上传。它从适用于本地的 Citrix SD-WAN Orchestrator 下载证书,登录 SD-WAN 设备,然后上传证书。它还会下载 SD-WAN 设备证书并将其上传到适用于本地的 Citrix SD-WAN Orchestrator 上。
注意
运行 11.3.0 或更高版本的 SD-WAN 设备支持非云零接触部署。
零接触部署仅支持 单向身份验证 和 双向身份验证。不支持任何身份验证 。如果在 “ 管理” > “证书身份验证” 页面上启用了 “身份验证类型”,则会建立双向身份验证。如果禁用身份验证类型 ,则建立单向身份验证。
您可以手动添加站点,也可以导入 CSV 文件以同时添加多个站点。
要配置非云零接触部署设置,请导航到 管理 > ZTD 设置 > 非云 ZTD,然后单击 + 站点。
注意
您还可以从 网络配置主 页访问每个站点的非云零接触部署设置。单击该站点的操作图标,然后选择 非云端 ZTD。
从 “ 站点名称 ” 下拉列表中选择一个站点,然后输入 Citrix SD-WAN 设备的 管理 IP 地址。
启用 “ 使用 ZTD 接口 ” 选项可确保 ZTD 接口用于非云 ZTD,前提是在 SD-WAN Orchestrator 上启用了 ZTD 接口。
注意
- 如果未在内部部署 S D-WAN Orchestrator 上启用 ZTD 接口,请忽略 “使用 ZTD 接口” 选项。
- 当 SD-WAN 设备可以访问 ZTD 接口 IP 地址但无法访问管理 IP 地址时,启用 “使用 ZTD 接口” 选项。
- 启 用 ZTD 接口后未选择 “使用 ZTD 接口” 选项,并不意味着管理接口 IP 地址用于 SD-WAN 设备与 SD-WAN Orchestrator 之间的通信。 使用 ZTD 接口 选项仅用于使用非云 ZTD 对设备进行初始配置。
提供设备的用户名和密码。 如果您要添加未更改默认密码的新配置站点,请选中 “全新配置” 复选框。 提供 新密码。在此零接触部署过程中,默认密码已更改为新密码。
注意
对于新配置的站点,必须在首次登录时更改默认密码。
单击 + 继续添加更多站点。
您也可以导入 CSV 文件以同时添加多个站点。用户界面中提供了可下载的示例模板。下载并提供站点详细信息。
- 设备名称: 在站点配置期间配置的站点名称。有关更多信息,请参阅 站点配置。
- 设备用户名:在站点设备上配置的用户名。
- 设备密码: 站点设备的相应密码。
- 密码是否已过期: 确定设备是否已全新配置。如果值为 True,请提供 设备新密码。
- 设备新密码: 新配置的设备的密码。如果 “ 密码已过期” 值为 True,请为 设备提供新密码。
- 是主设备:如果配置了高可用性 (HA),则活动设备的值必须为 True,备用设备的值必须为 False。如果未配置 HA,则该值必须为 True。
单击 “ 导入”,选择 CSV 文件,然后单击 “ 上传”。
显示站点的配置状态,您可以选择单独删除站点,或者如果不需要站点进行零接触部署,则可以选择全部删除。
云代理零接触部署
云代理零接触部署使用 Citrix SD-WAN Orchestrator 服务作为本地部署的 Citrix SD-WAN Orchestrator 和 Citrix SD-WAN 设备之间的代理。适用于本地的 Citrix SD-WAN Orchestrator 向 Citrix SD-WAN Orchestrator 服务发送云零接触部署配置包。云零接触部署配置包包含以下信息:
- 本地身份信息
- 身份验证类型
- 本地证书
- 设备详情(序列号列表)
Citrix SD-WAN Orchestrator 服务存储从 Citrix SD-WAN Orchestrator 接收的本地信息。当设备使用其序列号联系 Citrix SD-WAN Orchestrator 服务时,Citrix SD-WAN Orchestrator 服务获得的情报决定该设备必须由 Citrix SD-WAN Orchestrator 本地管理。Citrix SD-WAN Orchestrator 服务通过 Citrix SD-WAN Orchestrator 将本地详细信息传递给设备。Citrix SD-WAN 设备将其证书发送到 Orchestrator 服务。Citrix SD-WAN Orchestrator 服务接收并存储设备证书。
适用于本地的 Citrix SD-WAN Orchestrator 定期从 Citrix SD-WAN Orchestrator 服务获取设备证书。在适用于本地的 Citrix SD-WAN Orchestrator 与设备之间建立安全连接后,适用于本地的 Citrix SD-WAN Orchestrator 将配置和相关文件推送到设备。
云代理零接触部署设置仅适用于客户托管设置中的客户。提供商托管设置不支持云代理零接触部署设置。
必备条件
- 设备需要访问以下域名才能与 Citrix SD-WAN Orchestrator 服务建立连接:
- sdwanzt.citrixnetworkapi.net
- 下载.citrixnetworkapi.net
- trust.citrixnetworkapi.net
- sdwan-home.citrixnetworkapi.net
- 确保适用于本地的 Citrix SD-WAN Orchestrator 始终可以连接到 Citrix SD-WAN Orchestrator 服务以连接到板载 SD-WAN 设备。
- 确保 Citrix SD-WAN 设备在初始启动过程中以及在 SD-WAN 设备上恢复出厂设置时可以连接到 SD-WAN Orchestrator 服务。
要配置云代理零接触部署设置,请执行以下操作:
-
在适用于本地的 Citrix SD-WAN Orchestrator 中,使用引导式工作流程创建和定义站点。有关更多信息,请参阅 站点配置。
-
使用部署跟踪器验证并编译配置。有关更多信息,请参阅 网络配置 主题中的 “部署跟踪器” 部分。
-
导航到 管理 > ZTD 设置 > Cloud Brokered ZTD ,然后单击 + 站点。
-
从下拉列表中选择一个站点名称,然后单击 “ 添加”。这些站点是根据您的配置列出的。您可以选择单个站点或多个站点。
-
云零接触部署配置已创建并发送到 Citrix SD-WAN Orchestrator 服务。
-
在数据中心和分支站点接通电缆并打开 SD-WAN 设备的电源。
-
这些设备使用其序列号联系 Citrix SD-WAN Orchestrator 服务。
-
Citrix SD-WAN Orchestrator 服务充当本地部署的 Citrix SD-WAN Orchestrator 和设备之间的代理。它允许交换证书,Citrix SD-WAN 设备与本地的 Citrix SD-WAN Orchestrator 建立安全连接。零接触部署成功后,配置的站点将联机并显示在 Orchestrator 连接 列中的 “ 配置” > “网络配置主页” 下。
-
激活 并 暂 存配置,将配置和软件推送到设备。
-
应用配置/软件后,将建立虚拟路径,并使用相应的虚拟路径状态更新 “ 配置” > “网络配置主页 ” 下的 “ 可用性 ” 列。
注意:
适用于本地的 Citrix SD-WAN Orchestrator 大约需要 30 分钟才能获取设备证书并完全加载设备。要立即提取设备证书(无需等待 30 分钟),请单击 “ 提取设备证书”。
如有必要,您可以选择单击 “ 删除 Cloud Brokered ZTD 设置”。它会删除与所有站点相关的信息。如果您需要删除特定的站点信息,请单击与该站点对应的删除图标。
限制
-
SD-WAN 设备无法连接到共享云登录凭据的 Citrix SD-WAN Orchestrator for Inclouse 的多个实例。例如,SD-WAN 设备保持与首次配置的本地版 Citrix SD-WAN Orchestrator 的连接。接下来配置的 Citrix SD-WAN Orchestrator 本地详细信息不会推送到 SD-WAN 设备。
-
通过 LTE 连接的 SD-WAN 设备无法与在私有网络上托管的 Citrix SD-WAN Orchestrator 建立连接。
ZTD 接口设置
你可以在本地的 SD-WAN Orchestrator 上启用零接触部署 (ZTD) 接口。通过双向身份验证保护的 ZTD 接口为 SD-WAN 设备 和本地的 SD-WAN Orchestrator 提供了安全的通信接口。
启用 ZTD 接口后,通过非云 ZTD 和 Cloud-Brokered ZTD 部署的新 D-WAN 设备使用 ZTD 接口 IP 地址与本地的 SD-WAN Orchestrator 通信。
作为先决条件,请确保用于本地虚拟机的 SD-WAN Orchestrator 除了管理接口之外还有其他接口。
注意
对于 VMware ESXi 虚拟机,请确保在为 ZTD 添加额外接口后重新启动虚拟机。
启用 ZTD 接口
在适用于本地 GUI 的 SD-WAN Orchestrator 中,导航到 管理 > ZTD 设置 ,然后选择 启用 ZTD 接口 以启用 ZTD 接口。提供 ZTD 接口 IP 地址、子网掩码和网关 IP 地址。
选择 “ 对现有站点使用管理接口 ”,以确保已经通过非云 ZTD 或 Cloud Brokered-ZTD 部署的 SD-WAN 设备继续使用管理接口 IP 地址与本地的 SD-WAN Orchestrator 连接。
警告
如果未选择 “ 使用现有站点的管理接口 ”,则已通过非云 ZTD 或 Cloud Brokered-ZTD 部署的 SD-WAN 设备将断开与本地的 SD-WAN Orchestrator 的连接。
使用 ZTD 接口配置非云 ZTD
如果选择 “ 使用现有站点的管理接口 ” 选项,则已使用非云 ZTD 部署的设备将继续使用管理接口 IP 地址连接本地的 SD-WAN Orchestrator。在设备上启动非云 ZTD,使用 ZTD 接口 IP 地址与本地的 SD-WAN Orchestrator 建立连接。
注意
在所有 SD-WAN 设备通过 ZTD 接口 IP 地址与本地的 SD-WAN Orchestrator 建立连接后,您可以禁用 “使用现有站点的管理接口” 选项。
如果未选择 “ 使用现有站点的管理接口 ” 选项,则已使用非云 ZTD 部署的 SD-WAN 设备将丢失与本地的 SD-WAN Orchestrator 的连接。使用 ZTD 接口 IP 地址在 SD-WAN 设备上启动非云 ZTD,以恢复与本地版 SD-WAN Orchestrator 的连接。
使用 ZTD 接口配置云代理 ZTD
如果选择 “ 使用现有站点的管理接口 ” 选项,则已使用 Cloud Brokered ZTD 部署的设备将继续使用管理接口 IP 地址连接本地的 SD-WAN Orchestrator。 要使用 ZTD 接口 IP 地址与本地的 SD-WAN Orchestrator 建立连接,请执行以下操作之一:
-
在 SD-WAN 设备上,更新本地版 SD-WAN Orchestrator 的 IP 地址和证书。
注意
只有在手动重新生成证书时才更新证书,如果设备已经有证书,则无需更新证书。
-
恢复出厂设置并在设备上启动 Cloud Brokered-ZTD,使用 ZTD 接口 IP 地址与本地的 SD-WAN Orchestrator 建立连接。
注意
在所有 SD-WAN 设备通过 ZTD 接口 IP 地址与本地的 SD-WAN Orchestrator 建立连接后,您可以禁用 “使用现有站点的管理 接口” 选项。
如果未选择 “ 使用现有站点的管理接口 ” 选项,则已使用 Cloud brokered ZTD 部署的 SD-WAN 设备将丢失与本地的 SD-WAN Orchestrator 的连接。要使用 ZTD 接口 IP 地址恢复与本地版 SD-WAN Orchestrator 的连接,请执行以下操作之一:
-
在 SD-WAN 设备上,更新本地版 SD-WAN Orchestrator 的 IP 地址和证书。
-
恢复出厂设置并在设备上启动 Cloud Brokered-ZTD,使用 ZTD 接口 IP 地址与本地的 SD-WAN Orchestrator 建立连接。
手动连接配置
手动配置连接时,必须下载 Citrix SD-WAN Orchestrator 本地证书,然后将其上传到网络中的每个设备上。它涉及手动登录每个设备以上传证书。
要手动配置连接-
-
导航到 管理 > 证书身份验证 并启用 身份验证类型。
启用身份验证类型后,SD-WAN 设备只能通过双向身份验证连接到适用于本地的 Citrix SD-WAN Orchestrator。禁用身份验证类型后,SD-WAN 设备可以通过无身份验证、单向身份验证或双向身份验证连接到 Citrix SD-WAN Orchestrator for IndLocial。
注意
在提供商托管设置中,只有提供商才能启用身份验证类型和为本地证书重新生成 Citrix SD-WAN Orchestrator。
-
单击 “ 重新生成 并 下载 Citrix SD-WAN Orchestrator 本地证书”。
-
从 “设备 证书” 部分选择一个设备 ,然后上传从 SD-WAN 设备下载的相应证书。有关下载设备证书的详细信息,请参阅 SD-WAN 设备上的 Citrix SD-WAN Orchestrator 本地配置。
注意
- 仅支持 .pem 文件类型。
- 只有客户管理员才能上传设备证书。
-
登录 SD-WAN 设备用户界面,导航到 配置 > 虚拟广域网 > 本地 SD-WAN Orchestrator。上传从 Citrix SD-WAN Orchestrator 下载的本地证书。有关详细信息,请参阅 Citrix SD-WAN Orchestrator 在 SD-WAN 设备上进行本地配置。
验证连接
要验证设备的连接状态,请导航到 配置 > 网络配置主页,然后检查与您的站点对应的 Cloud Con nectivity 列。
注意
您可以在 基础架构 > Orchestrator 管理 > 软件映像 > 设备下发布所需的软件以升级设备。有关更多信息,请参阅 发布软件。
回退配置
备用配置可确保通过设备的带内管理 IP 保留您与 Citrix SD-WAN 设备建立的用于本地连接的 Citrix SD-WAN Orchestrator。
要在站点级别的 Citrix SD-WAN Orchestrator 上启用备用配置,您可以导航到 配置 > 设备设置 > 回退 并单击 “ 启用回退配置”。
有关备用配置的详细信息,请参阅 带内管理。
注意
如果您使用的是 Citrix SD-WAN 110 SE 以外的设备,请确保运行的是 SD-WAN 11.2 或更高版本以启用默认回退配置。
下表提供了在不同平台上用于备用配置的预先指定 WAN 和 LAN 端口的详细信息:
| 平台 | WAN 端口 | LAN 端口 |
|---|---|---|
| 110 | 1/2 | 1/1 |
| 110-LTE | 1/2,LTE-1 | 1/1 |
| 210 | 1/4, 1/5 | 1/3 |
| 210-LTE | 1/4、1/5、LTE-1 | 1/3 |
| VPX | 2 | 1 |
| 410 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
| 1100 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
